今月初め、元ランサムウェアグループ「Conti」が分裂し、多くのメンバーが新たな敵対勢力に加わったり、新たな派閥を結成したりしたという報道が浮上しました。そして、それが元メンバーをこれまで以上に危険な存在にしている理由も明らかになりました。今日、この報道は現実のものとなったかもしれません。2022年4月に結成された「Black Basta」という名の新たなランサムウェアグループが、ランサムウェア業界で注目を集めています。このグループは、元ContiとREvilのメンバーで構成されていると考えられています。
しかし、コンティの現在のメンバーは、新しいグループとの関わりを共有することに異議を唱えており、コンティのハッキングフォーラムによると、ブラックバスタグループは単なる「子供たち」だと主張している。
XDR 企業 Cybereason が本日発表した調査結果には、この新たなグループの活動の詳細とともに、企業と個人がこの新たに結成されたグループの活動から身を守るために試みることができる方法が示されています。
ランサムウェア集団として台頭するブラックバスタ
まず、このハッキング集団は活動開始からわずか数年で、既に米国、英国、オーストラリア、ニュージーランド、カナダの50の組織を攻撃しています。サイバーリーズンは、攻撃の性質と標的の選択から、この新たな集団は著名なハッキング集団の元メンバーによって構成されていると考えています。
「Black Bastaは比較的新しいグループであるため、その詳細はあまり知られていません」と、サイバーリーズンのCEO兼共同創設者であるLior Div氏は述べています。「急速な台頭と攻撃の精度の高さから、Black Bastaは、2021年に最も収益性の高いランサムウェア集団である、解散したContiとREvilの元メンバーによって運営されている可能性が高いと考えられます。」
サイバーリーズンによると、Black Bastaが使用するランサムウェアは新しいもので、二重の恐喝手法を用いています。このグループは被害者組織のファイルを盗み出し、身代金要求に応じない場合は盗んだファイルを公開すると脅迫します。サイバーリーズンによると、このグループは盗んだデータの機密性を保つために、被害者に最大数百万ドルを要求していたとされています。
攻撃自体はQBotマルウェアとの連携によって実行され、Black Bastaなどのグループにとってランサムウェアのプロセスを合理化し、標的に関するデータを収集しながら偵察を容易にします。Black Bastaは十分な監視を行うと、ドメインコントローラーを標的とし、PsExecを使用して横展開を行います。
次に、攻撃者は侵害されたグループポリシーオブジェクトを利用して、Windows Defenderやその他のウイルス対策ソフトウェアを無効化します。防御ソフトウェアが無効化されると、Black BastaはエンコードされたPowerShellコマンドを使用してランサムウェアを展開し、Windows Management Instrumentation(WMI)を利用して、グループが指定したIPアドレスにランサムウェアを送り込みます。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
組織はこのランサムウェアからどのように身を守ることができるでしょうか?
ゼロトラスト・アーキテクチャを採用することで、こうしたタイプの攻撃が組織に影響を及ぼすのを防ぐことができます。ファイルやリンクが正当であることが十分に検証されるまで信頼しないことで、企業とその従業員は被害を回避するためにあらゆる対策を講じ、時間と手間を大幅に節約できます。さらに、すべてのシステムパッチを最新の状態に保つことも、このプロセスに役立ちます。ランサムウェアグループは、2022年5月に確認されたWindows Print Spoolerのエクスプロイトなど、多くの古いソフトウェアの脆弱性を悪用していることが判明しています。最後に、すべてのウイルス対策ソフトウェアも常に最新の状態であることを確認してください。
